逆向金融表示,一个甲骨文价格操纵漏洞让黑客盗取了约130万美元,造成580万美元的协议损失。
6月16日,Inverse Finance再次遭受攻击,一个甲骨文价格操纵漏洞让一名黑客盗取了约130万美元,导致该协议损失580万美元。
区块链安全公司PeckShield在一系列推文中披露了该事件的细节。
4/发起黑客攻击的初始资金(1ETH)从@TornadoCash提取。目前68个ETH的非法收益仍留在黑客的账户中https://t.co/lEA5jmsGXZ…..而1000个ETH已经存入@TornadoCash pic.twitter.com/fkhCdkAyvM
– PeckShield公司(@peckshield)June 16, 2022
最近的这次攻击使其成为两个月内对DeFi协议的第二次攻击。4月早些时候,Inverse Finance遭受了一次攻击,导致了1560万美元的损失。
The exploit
后来在Inverse Finance的网站上发布了一份关于这次攻击的全面报告。
报告解释说,该漏洞发生在yvcrv3crypto市场,该市场使用Chainlink价格数据,而不是Curve协议的内部汇率。
Inverse Finance表示,价格差异使得黑客可以闪电式贷款27000个包装比特币(wBTC)–这是比特币的修改版,价格相等,但可以在以太坊(ETH)网络上使用。
攻击者随后将wBTC交易到tricrypto池中,导致yvcrv3crypto LP代币在价格oracle上的价格激增,并允许黑客在Inverse FInance的Frontier平台上用该抵押品借入DOLA–Inverse FInance的稳定币。
PeckShield使用Etherscan的数据,在一条推文中说,被盗金额中的68个ETH仍在黑客手中,1000个ETH已经存入Tornado Cash,这是一个加密货币混合器,混合不同的可能识别的加密货币流,以增加匿名性,使交易更难追踪。
Inverse FInance’表示,没有用户存入的抵押品受到黑客攻击的影响,但指出,Frontier Fed,Inverse Finance DAO产生了580万美元的DOLA坏账。这是在4月份的黑客攻击中产生的大约380万美元DOLA债务之外的。
DeFi协议补充说,由于没有个人用户受到该事件的直接影响,因此不需要改变其对受4月事件影响的用户的弥补计划。
Inverse Finance承诺采取一系列行动
Inverse FInance详细介绍了一系列安全措施,其中包括收回资金的计划,并确保DeFi平台的额外安全。
这包括公开呼吁黑客归还资金,以获得 “丰厚的赏金”。此外,DAO承诺将攻击的数据提供给任何愿意帮助追回资金的人,以获得奖励。
Inverse FInance表示,它获得了安全专家团队RiskDAO的服务,以调查这次攻击,同时还在雇用更多的安全运营人员。
最后,Inverse FInance已经暂停了对Frontier平台上所有资产的借贷,但预计对仅有Chainlink的资产以及INV的借贷将很快恢复。